Eine kritische Schwachstelle in der VPN-Anwendung Ivanti Secure Connect wurde von der Google-Tochter Mandiant aufgedeckt und birgt erhebliche Sicherheitsrisiken. Diese Zero-Day-Lücke, die als CVE-2025-0282 bezeichnet wird, wird seit Dezember 2024 von mindestens einem Bedrohungsakteur mit Verbindungen nach China ausgenutzt. Diese Ausnutzung ermöglicht es Angreifern, vollständige Kontrolle über die betroffenen Systeme zu erlangen und speziell manipulierte Schadsoftware einzuschleusen. Insbesondere ermöglicht die Lücke eine Remotecodeausführung, sodass sich Angreifer lateral innerhalb des Netzwerks bewegen können, um ihren Zugriff auszuweiten und persistente Hintertüren zu installieren.
Mandiant betont die Gefährlichkeit durch die Einführung und Nutzung der „Spawn“-Malware-Familie, die bereits im April 2024 mit einer chinesischen Hackergruppe in Verbindung gebracht wurde. Auch andere Malware-Familien wie „Dryhook“ und „PhaseJam“ wurden über dieselbe Schwachstelle eingeschleust. Die genaue Bestimmung der Anzahl der beteiligten Bedrohungsakteure wird dadurch erschwert, dass unterschiedliche Schadsoftware eingesetzt wurde. Dies zeigt die Komplexität und den Umfang der Bedrohung, der derzeit Unternehmenskunden weltweit ausgesetzt sind.
Ivanti hat schnell reagiert und einen Patch zur Verfügung gestellt, wobei betroffenen Kunden empfohlen wird, ein komplettes Factory Reset ihrer Appliances durchzuführen. Diese Maßnahme ist notwendig, um die Sicherheit der Systeme wiederherzustellen und zu gewährleisten, dass über System-Upgrades eingeschleuste Backdoors nicht bestehen bleiben. Das zeigt den Ernst der Lage und den dringenden Handlungsbedarf, den diese Sicherheitslücke mit sich bringt.
Zusammenfassend lässt sich festhalten, dass die Aufdeckung der Zero-Day-Lücke in Ivanti Secure Connect VPN eine enorme Bedrohung nicht nur für einzelne Unternehmen, sondern auch für die allgemeine Cybersicherheit darstellt. Die Vielfalt und die strategische Raffinesse der eingesetzten Malware verdeutlichen die Professionalität der Angreifer und das hohe Risiko, dem betroffene Netzwerke ausgesetzt sind. Unternehmen müssen dringend Maßnahmen ergreifen, um ihre Systeme zu sichern und potenziellen Schaden abzuwenden.